Samenwerken aan DPIA's: een noodzaak

Gemeentes en intergemeentelijke organisaties zijn op privacygebied té vaak zelf het wiel aan het uitvinden. Neem nu DPIA’s (Data protection impact assessments, ook wel gegevensbeschermingseffectbeoordelingen genoemd): dit zijn kortgezegd privacytoetsen die organisaties op (mogelijke) hoog risico-processen moeten uitvoeren. Bij een gemeente zijn er vaak honderden verwerkingen waarop zo’n DPIA verplicht is. Ook andere overheidsorganisaties moeten vaak veel DPIA’s uitvoeren. Zeker als ze veel met persoonsgegevens werken, bijvoorbeeld op het gebied van burgerzaken en sociaal domein, maar ook voor personeels- en salarisadministratie. Deze organisaties worstelen vaak met een achterstand aan DPIA’s, terwijl DPIA’s in principe vóóraf aan de verwerking gedaan moeten worden. Daarnaast is de beschikbare kennis en expertise beperkt, waardoor deze achterstand alleen nog maar verder oploopt. Hierdoor raken projecten ‘in de wachtstand’ omdat er nog geen DPIA is uitgevoerd, óf een proces is van start gegaan zonder dat de privacyrisico’s voldoende in kaart zijn gebracht, waarna er passende maatregelen worden genomen om met deze risico’s om te gaan. Beide brengen risico’s met zich mee. Dus waarom werken we niet samen aan DPIA’s?

De werkzaamheden van verschillende overheidsorganisaties kunnen sterk op elkaar lijken, zeker als ze zich in hetzelfde domein bevinden, zoals verschillende sociaal domein-organisaties, of als ze hetzelfde type organisatie zijn, zoals twee Veiligheidsregio’s. Wanneer deze partijen zouden samenwerken op het gebied van DPIA’s, zijn ze in staat om met minder inspanning (per individuele organisatie) de vereiste resultaten te bereiken. Daarom is het eigenlijk onbegrijpelijk dat overheidsorganisaties zo weinig samenwerken op het gebied van DPIA’s. Natuurlijk, elke organisatie is uniek en de processen zullen verschillen, maar dat betekent niet dat er helemaal geen samenwerking mogelijk is. In dit artikel beschrijven we twee manieren waarop overheidsorganisaties beter kunnen samenwerken op het gebied van DPIA’s.

1. Doe je DPIA samen

Er zijn talloze samenwerkingen in de overheid. Zo bieden Centrumgemeenten omringende gemeenten ICT- en andere diensten. Zijn er gemeenschappelijke regelingen die zorg dragen voor de uitvoering van bijvoorbeeld belasting of archivering. Of gemeenten kopen gezamenlijk diensten of applicaties in. Ook zijn er tal van platformen voor kennisuitwisselingen, bijvoorbeeld op IT-gebied. In deze situaties kunnen de gemeenten de handen ineenslaan door samen de DPIA op te pakken.

Een voorbeeld uit de praktijk: een aantal gemeenten en gemeenschappelijke regelingen schaffen gezamenlijk applicaties en diensten aan. Per aangeschafte dienst is er één privacy officer die de bijbehorende DPIA begeleidt. Deze privacy officer borgt dat er een complete DPIA komt te liggen, en de privacy officers van de overige organisaties leveren feedback. Eén van de Functionarissen Gegevensbescherming uit de samenwerking voegt nog advies toe en overlegt waar nodig met de andere FG’s.

Hiermee creëren ze een DPIA die voor 80 tot 90% af is. Er zijn altijd een aantal organisatie-specifieke zaken waar de DPIA op gefinetuned moet worden. Denk bijvoorbeeld aan de procedure voor rechten van betrokkenen, of de wijze waarop betrokkenen geïnformeerd worden: dit zal per organisatie verschillen. Maar er staat een enorm sterke basis.

Het voordeel? Voor deze kleine groep kun je één heel specifieke DPIA schrijven, die vervolgens iedereen met hooguit een uur werk kan aanpassen naar de eigen organisatie. Dit vraagt wel om een aantal randvoorwaarden:

• Goede afspraken over de wijze waarop de DPIA wordt uitgevoerd. Wat is de methodiek? Welk rapportageformat wordt aangehouden als basis? Welke personen voeren de DPIA uit en nemen eraan deel?
• Overeenstemming over de risk appetite. Organisaties hebben verschillende niveaus van risk appetite (hoe risicomijdend zij zijn en hoeveel middelen zij bereid zijn in te zetten om risico’s te mitigeren). Bij een gezamenlijke DPIA is het belangrijk dat je draagvlak hebt over de risicoclassificatie, zodat er achteraf geen discussie ontstaat over of een risico nu hoog, midden of laag is, en wat dat betekent voor de noodzaak voor het uitvoeren van de maatregelen.
• De FG’s moeten op één lijn zitten. Sommige samenwerkingen delen hun FG, waardoor de hierboven beschreven aanpak relatief makkelijk zal zijn: het scheelt voor de FG heel veel tijd, en het advies richting alle organisaties zal hetzelfde zijn. Maar als je te maken hebt met verschillende FG’s, die wellicht ook anders in de wedstrijd zitten, kan het zijn dat het lastig is om met één FG-advies te werken. Stem dus goed van tevoren af, als je besluit om gezamenlijk DPIA’s op te pakken, wat de rol van de verschillende FG’s is. Zeker als er sprake is van gedeelde verwerkingsverantwoordelijkheid.

2. Ontwikkel referentie-DPIA’s

Ook als overheidsorganisaties niet samenwerken, zullen zij te maken hebben met vergelijkbare verwerkingen waar DPIA’s op gedaan moeten worden. Dit is waar de referentie-DPIA om de hoek komt kijken. Een referentie-DPIA is een standaardmodel of -sjabloon dat is ontwikkeld voor een specifiek type verwerking. Het is een “80% DPIA” en bevat:

• Een globale procesbeschrijving die mogelijk op punten afwijkt van jouw organisatie.
• Een beschrijving van de grondslagen (artikel 6 AVG) en de uitzonderingsgronden voor de verwerking van bijzondere persoonsgegevens (artikel 9 AVG), maar mogelijk géén beoordeling van de noodzakelijkheid (omdat die sterk organisatie-afhankelijk is).
• Een overzicht van risico’s en mogelijke maatregelen, maar mogelijk géén risicoclassificatie (of enkel een voorzet van de risicoclassificatie, die nog aangepast moet worden door de organisatie zelf).

De referentie-DPIA is dus echt een stuk globaler dan de ‘samenwerkings-DPIA’ uit de vorige paragraaf. Waarom zou je dan voor de referentie-DPIA kiezen?

De referentie-DPIA is met name voordelig als er heel veel verschillende organisaties, die geen samenwerking hebben, op dezelfde privacygevoelige onderwerpen aan het oriënteren zijn. Een voorbeeld hiervan is spraakgestuurd rapporteren met AI in het sociaal domein. Veel verschillende sociaal domeinteams en -organisaties zijn aan het onderzoeken hoe zij AI kunnen inzetten, om het rapporteren te vergemakkelijken en te versnellen. Zij kijken naar verschillende soorten manieren, zoals ambient listening of achteraf spraakgestuurd rapporteren, en naar tal van verschillende leveranciers. Tegelijkertijd hebben ze allemaal dezelfde vraag: (hoe) kunnen we dit AI-systeem veilig en verantwoord inzetten in onze organisatie, met respect voor de privacy van betrokkenen?

De succesvolle ontwikkeling van een referentie-DPIA is niet moeilijk, maar vraagt wel om een toegewijde groep die tijd maakt om aan de DPIA te werken: 

1. Bepaal het doel en de scope van de referentie-DPIA. Hoe breed wil je gaan? Spreek je één volledige sector aan, of slechts een specifiek soort dienstverlening binnen deze sector? Kijk je naar verschillende methodieken en leveranciers of selecteer je van tevoren één werkwijze en één partij? Hoe specifieker, hoe makkelijker, maar tegelijkertijd geldt ook: hoe specifieker de referentie-DPIA, hoe kleiner de groep waarvoor deze relevant is.
2. Stel een groep experts samen met zowel procesinhoudelijk experts als privacy-experts.
3. Werk met een subgroep aan een procesbeschrijving die zoveel mogelijk overeenkomt met de (verwachte) werkelijkheid.
4. Organiseer een gezamenlijke workshop met de expertgroep waarin je de volgende zaken langsloopt:- Resoneert het proces met de betrokkenen? Zijn er cruciale afwijkingen? Hoe gaan we daarmee om?- Welke risico’s zien we? Zijn deze risico’s hoog of laag?- Welke (realistische én passende) maatregelen kunnen we formuleren op de bestaande risico’s?
5. Wijs één of twee penvoerders aan die het DPIA-verslag schrijven en alle opgehaalde informatie uitwerken.
6. Valideer het verslag bij de expertgroep.
7. Vraag eventueel een onafhankelijk FG die niet betrokken is bij de totstandkoming van de DPIA om advies.
8. Publiceer de referentie-DPIA mét instructies.

Zelf ervaarden wij de afgelopen periode de ontwikkeling van een referentie-DPIA voor spraakgestuurd rapporteren met AI in het sociaal domein en in de zorg. We werkten met in totaal 13 organisaties én een onafhankelijk FG aan de DPIA. We ontdekten dat de grootste werkdruk vooral bij de penvoerders zit, een rol die M&I/Partners op zich nam. Maar de toegevoegde waarde van personen uit het werkveld, zowel privacyadviseurs als experts uit het primair proces, was enorm. Zonder hen had de referentie-DPIA niet de kwaliteit en diepgang die het nu heeft. De samenwerking was hiervoor essentieel.

Het is (te) veel gevraagd van een individuele organisatie om een referentie-DPIA te organiseren of hier penvoerder van te zijn. Koepelorganisaties zouden hier een stap naar voren moeten doen. Wij roepen dan ook de Informatiebeveiligingsdienst (onderdeel van de VNG) en andere koepelorganisaties voor overheidsorganisaties (zoals NIPV en de Unie van Waterschappen) op om de rol van organisator en penvoerder voor referentie-DPIA’s te nemen. Ook kunnen gemeenten en andere organisaties hun krachten bundelen door op DPIA-gebied verdere samenwerking op te zoeken bij bijvoorbeeld NEDICTOR en IMG100+.

Ga samenwerken!

Of je nu kiest voor samenwerken aan een gedetailleerde DPIA met ketenpartners, of het ontwikkelen van een referentie-DPIA vanuit de koepel- of brancheorganisatie: het is duidelijk dat er veel te winnen valt op het gebied van samenwerken aan DPIA’s. In plaats van continu zelf het wiel uit te vinden én achter de feiten aan te lopen, kunnen organisaties enorme verbeterslagen maken en snelle stappen vooruitzetten door te profiteren van elkaars kennis en inzichten.

Auteur kennisbijdrage: Marit Wensink, senior adviseur privacy en informatiemanagement bij M&I/Partners.